האם מנהלי סיסמאות בטוחים לשימוש?

אתה כבר יודע את החשיבות של שימוש בסיסמאות חזקות ואת האיומים העומדים בפניך אם לא תעשה זאת. על מנת לאכוף סיסמאות חזקות, רבים מאיתנו משתמשים במנהלי סיסמאות. הם אמורים לשמור על בטיחות הנתונים שלנו, אך לפעמים יש תחושת ביטחון שגויה. יתר על כן, לא כל מנהלי הסיסמאות מציעים את אותה רמת אבטחה. זה עשוי להוביל להאקרים להשתמש בהתקפות כוח סוערות ולגנוב את זהותך.


האם מנהלי סיסמאות בטוחים לשימוש?

האם מנהלי סיסמאות בטוחים לשימוש?

מנהלי סיסמאות ומדוע משתמשים בהם

מנהלי סיסמאות הם אפליקציות, הרחבות דפדפן או כלים המשמשים לאחסון מאובטח של כל הסיסמאות שלך. אלה כוללים את מספר הסיסמאות שאתה יוצר באתרים רבים כמו אמזון, נטפליקס או יוטיוב בעת ההרשמה. באופן דומה, ייתכן שיצרת סיסמאות חזקות שקשה לזכור עבור הדוא”ל שלך, ספק שירותי האינטרנט, חברת הטלפונים שלך ואחרים..

אתה יכול לשמור את כל הסיסמאות הללו באפליקציה ולנעול אותה על ידי יצירת סיסמא אחרת. בעיקרון, כדי לגשת לכל אישורי ההתחברות שלך, אתה זקוק רק לתעודה זו. זו הסיסמה שיש לך עבור מנהל הסיסמאות. פתח את האפליקציה, בחר את סיסמת השירות שאתה רוצה להשתמש בה, העתק והדבק אותה. חלק ממנהלי הסיסמאות מציעים אבטחה נוספת עם אפשרויות כמו אימות דו-גורמי. חלקם מציעים קלות גישה באמצעות טפסים אוטומטיים למילוי שבהם הם נכנסים אוטומטית לשדות ההתחברות של שירות או אתר.

סוגיות עם מנהלי סיסמאות

אמנם נכון שאפליקציות לניהול סיסמאות מוכיחות כמתן לך נוחות רבה יותר בגישה לרשת, אך אינך יכול להתעלם מהאיומים שהם מהווים. במיוחד כאשר אתה משתמש בתוסף דפדפן הזמין באמצעות אפליקציית מנהל הסיסמאות שלך, האיומים הם עצומים. ביקור באתר שיכול להדביק את המכשיר שלך בתוכנה זדונית הופך את הנתונים שלך לפגיעים למספר התקפות כמו XSS (Scripting בין אתרים) או CSRF (זיוף בקשות חוצות אתרים).

מקרה זה הוא ניצול אבטחה קודם של LastPass, בו ככל הנראה אתר האינטרנט הפגיע יוזרק לו סקריפט ריגול. זה יכול לבדוק בדפדפן שלך את התוסף האמור אם אתה מאפשר זאת בעת ביקור באתר. הודעה זהה לזו של LastPass תוצג בדף שתאמר לך שהפגישה שלך פגה ועליך להתחבר שוב. אם תלחץ על הקישור המוצג, הוא יעביר אותך לאתר דיוג שנראה דומה לעמוד הכניסה של LastPass.

כשאתה מתחבר לאתר, האתר הזדוני בודק עם ממשק ה- API של LastPass ומאשר את אישוריך. אם הם נכונים, האתר יבקש ממך להזין את אסימון האימות הדו-גורמי. לאחר בדיקת ה- API של LastPass, האתר שולח את פרטיך מייד לשרת ההאקר. אך אם יתברר שפרטי הכניסה שגויים, הסקריפט באתר יטען הודעת שגיאה ומבקש ממך לנסות שוב.

סוגיות אבטחה אחרות בעבר מעבר אחרון מוסרים להאקרים את הגישה המלאה לפקודות ה- RPC הפנימיות המוחזקות שלה ולהוציא לפועל קוד. האקר יכול גם לעקוף הודעות לגיטימיות וליצור התקפות דיוג דומות.

האינטרנט הלא בטוח

הדוגמה לעיל אינה הנושא היחיד של מנהלי סיסמאות מבוססי דפדפן שהגיעו לאור. לפי עולם הרשת, שומר, 1 סיסמא ודשליין התנסו גם בנושאי אבטחה.

פגיעות אבטחה בעבר שקיימה הייתה כי התוסף הזריק את ממשק המשתמש המהימן שלו לאתר לא מהימן. זה הותיר אותו פתוח להתקפות כמו CSRF, XSS ואחרות. פגיעות אוניברסלית של XSS נחוותה על ידי Dashlane, מה שיאפשר לאתרים לתקוף זה את זה באמצעות ניצולי XSS ולהתפשר על עוגיות, אישורי כניסה ונתוני משתמשים אחרים. בעיות אבטחה בסיסיות בעבר 1 הובילו לביטול מודל האבטחה המקומי, וירטואליזציה וארגז חול בין תכונות אחרות.

נושאים אלה הם רק טיפים של הקרח

עם כל יום, האקרים מוצאים דרכים חכמות יותר לתקוף ואתרי התחזות משתפרים בכך שהם לא ניתנים לגילוי. ראינו שמספר מנהלי סיסמאות מאפשרים להשתמש בתכונת המילוי האוטומטי שלהם. על פי Wired, איכלוס טופס ההתחברות בדף אינטרנט עם האישורים השמורים שלך הוא הפגיעות הגדולה ביותר באבטחה. בהתאם למרכז למדיניות טכנולוגיית המידע בפרינסטון, האקרים המנצלים את הפגיעויות הוותיקות הללו בתוספי דפדפן אינטרנט במנהלי סיסמאות זו רק ההתחלה.

התסריטים המתקדמים של האקרים יכולים לעקוב אחר תכונה זו של מילוי אוטומטי ולגנוב את פרטי הכניסה שלך. בעוד שהמספרים מראים כי התקפות כאלה התרחשו רק באלף אתרים עד כה, אנו יכולים להיות בטוחים שהם רק מתכוונים. כשאתה מזהה הפרת אבטחה, אתה יכול לשנות את הסיסמה שלך. עם זאת, עם נקודות תורפה אלה, פרטי המשתמש שלך ייגנבו ללא ידיעתך. מנהלי סיסמאות לא יוכלו להציל אותך ברגע שזה יקרה.

הגנה על הסיסמאות שלך

אז האם האתרים לא יידעו אותך אם הם נפרצו? אם שאלה זו עומדת בראשך, עליכם לדעת כי היו מקרים רבים שבהם אתרים לא עשו דבר כדי ליידע את המשתמשים שלהם. גם כאשר חברות גדולות כמו Yahoo! ו- Uber עברה הפרת נתונים, המשתמשים לא קיבלו הודעה. לפיכך, גם אם אתה סומך על מנהל סיסמאות מאובטח, הבין שהנתונים שלך לא יכולים להיות בטוחים מאתרים או חברות שאינם בעלי אבטחה נאותה באתרים שלהם.

דעתם של אנשים על מנהלי סיסמאות

ישנם אנשים רבים שאינם מסכימים שמנהלי סיסמאות מאובטחים. למשל, נראה את דעתו של דייב, שהוא מתכנת בחברת תוכנה, מאמין ש”שימוש במנהל סיסמאות מקומי טוב יותר שכן שירות מבוסס ענן ניתן לפרוץ בקלות. כמו כן, הגיוני להשתמש בלקוח לניהול סיסמאות אם אתה צריך לשמור מאות אישורי כניסה, כמוני, למטרות עסקיות. “

עם זאת, זו גם לא דרך בטוחה, לטענת מאט, שהוא רואה חשבון. הוא אומר שהוא אוהב להיות תלוי בזיכרון שלו, במקום לסמוך על מכשיר כלשהו שישמור את הסיסמאות החשובות שלו. לדבריו, כל המכשירים פגיעים והנתונים עשויים לגנוב על ידי מישהו שיש לו גישה פיזית למכשירים שלך.

דעה דומה באה לידי ביטוי על ידי רוזי, סטודנטית, המאמינה, “יש לי הרגל לשמור את הסיסמאות שלי בגליון עבודה מוגן ב- MS Excel. אני משתמש בביטוי סיסמה של למעלה מ 20 תווים, שלדעתי די קשה לפיצוח. אני לא סומך על אחסון התקנים מבוסס ענן או מקומי יותר מאשר בזיכרון שלי כדי לאבטח את המידע הרגיש ביותר שלי. ”  

האם עליך להשתמש במנהל סיסמאות?

כעת כשאתה יודע על כל פגיעויות האבטחה האפשריות של מנהלי סיסמאות, האם עליך להפסיק להשתמש באחת מהן? העובדה היא שאם יש לך מספר רב יותר של חשבונות, עדיף להשתמש בחשבונות שכן אתה מקבל שכבה נוספת של אבטחה. זה הרבה יותר טוב מאשר שאין כלל; אי הצלתם מהווה סיכונים גדולים בהרבה מאשר קיום כזה. אך וודא שאתה משתמש במנהל סיסמאות מאובטח וכי לעתים קרובות הוא מעדכן את האבטחה שלו מפני התקפות כוח סוער.   

כך או כך, לעולם אל תשתמש בתוספי דפדפן או ביישומי דפדפן מובנים לניהול סיסמאות, כמו זה שאתה מקבל עם Chrome. במקום זאת, השתמש בכל אפשרות מבוססת שולחן עבודה מכיוון שהם מציעים את מירב האבטחה ואת תפנית המילוי האוטומטי. כגיבוי, אתה יכול גם לשמור את הסיסמאות שלך במכשיר או קובץ מוצפן.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map